IBM開源雲端系統遙測資料格式SysFlow

本周IBM研究院宣佈將SysFlow資料格式開源，以用於防範雲端資料外洩，宣稱比傳統網路流量分析準確率更高。

在所有駭入企業網路的事件中，與應用程式漏洞相關的達25%，而且這類攻擊往往潛伏在網路上數百天，進而擴大企業資訊外洩的規模。這些數據顯示，傳統防禦工具已不足以防範資料外洩。傳統網路流量監控及系統誤用的監控系統，無法透通顯示特定應用的活動，跟不上不斷演化的攻擊、錯誤率高，讓可疑事件的偵察好比大海撈針。

本周，IBM研究院在Flocon2020會議上，將自行研發用於雲端應用及服務的監控技術SysFlow開源出來。

SysFow是一個監控系統行為的系統遙測資料格式和工具套件。它可將系統活動視覺化為一個以flow為中心、物件關聯性的地圖，可紀錄應用程式和其環境的互動狀況，有點類似NetFlow用於網路通訊的監控。但NetFlow只能蒐集網路互動，SysFlow則可以將網路行為與流程及檔案存取資訊之間建立連結，以提供更豐富的分析脈絡。這個分析脈絡有助於蒐集主機和容器作業活動，深度分析攻擊狙殺鍊（kill chain）以減少誤判，比傳統網路流量分析偵測率更高。

雖然蒐集系統事件的遙測技術並不新，但IBM表示，現有監控技術蒐集了太細的系統呼叫資料，導致資料太龐大而只能運用簡單的規則式（rule-based）分析。SysFlow可以規模順序來減少資料蒐集率，可減少儲存容量，並將事件轉為利於鑑識應用所用的惡意行為資訊，進行威脅獵捕和鑑識分析。此外，SysFlow的開放序列化（serialization）格式和函式庫，也方便和開源框架（如Spartk、scikit-learn）及自訂的分析微服務整合。

IBM已經將SysFlow文件及專案開放於GitHub及Docker Hub等。